Quelques news en vrac

Bonjour,

J’ai décidé de basculer mon routeur il y a quelques semaines sous OPNsense. Pas vraiment par choix mais par défaut. Pourquoi ? Parceque j’ai besoin d’utiliser un reverse proxy (HAPROXY pour ne pas le nommer) pour pouvoir router mes adresses sur les différentes machines. Rien d’exceptionnel mais je n’arrive pas à le faire fonctionner sous Pfsense. Il y a pourtant des tonnes de tutoriels sur le net, je fais tout bien comme il faut mais HAPROXY ne reroute jamais rien sauf le « par défaut ». J’avoue que je ne comprends pas, j’ai passé des heures dessus, j’ai retourné le truc dans tous les sens mais impossible d’avancer d’un millimètre. En plus de ça, lors du dernier gros patch de février de Pfsense, ils ont réussi à planter le plugin qui permet d’utiliser les DNS Blacklists. Et ils ont mis 3 mois à sortir le patch correctif ! C’est la que j’ai appris que les plugins n’étaient pas suivis par l’équipe de Pfsense mais par des bénévoles alors qu’ils sont indispensables en tout cas pour une utilisation domestique en tant que routeur. J’ai donc décidé de tester OPNsense qui est un fork de Pfsense mais qui a une meilleure intégration des plugins et la miracle, dès le premier coup ça a fonctionné ! Et au final, j’en suis très content, la prise en main est ultra rapide vu que la logique est identique à Pfsense et il y a pleins de petites choses sympas.

Ca rassure d’ailleurs parceque des fois vous avez l’impression d’être un idiot fini. Ca fait maintenant plusieurs années que je tripote mes dockers et VMs et je commence un minimum à comprendre ce que je fais. Donc quand vous vous retrouvez dans une impasse complète et que vous êtes sur d’avoir parfaitement exécuté les manipulations et que le rendu n’est pas celui espéré, c’est qu’au final, il y a une incompatibilité dans l’utilitaire que vous utilisez. Le but va être alors de trouver et valider une alternative pour confirmer cela. C’est ce que je fais depuis maintenant quelques mois et j’ai soldé une énorme quantité de tâches qui étaient dans ma todo list depuis une éternité.

En plus de Pfsense, j’ai aussi basculé mes DNS qui sont chez ovh sur Cloudflare. Mouarf, si j’avais su à quel point ça a simplifié mon fonctionnement pour mes serveurs, j’aurais du le faire depuis longtemps ! Premier avantage : vous êtes proxysé. Ce n’est pas négligeable, ça évite d’exposer votre adresse ip publique directement pour tout le monde (et en particulier pour les petits malins qui passent leur vie à scanner les serveurs web). Deuxième avantage : dyndns. Dans ovh, vous êtes limité à 5 adresses, avec Cloudflare, vous avez une API que vous pouvez utiliser et qui est illimité ! Champagne ! Troisième avantage : les sous domaines. Sans rentrer dans les détails, avec ovh pour ma part ça n’a jamais fonctionné comme ça devrait, avec Cloudflare ça fonctionne de façon logique et vous pouvez définir dans les CNAME le fameux *.mondomaine.com pour la déclaration des sous-domaines (pas possible avec ovh, lol). Et le dernier gros point : le certificat SSL. Deux possibilités avec Cloudflare, soit vous utilisez l’API pour obtenir un certificat avec let’s encrypt  par exemple en utilisant le DNS resolver, soit vous pouvez en avoir un wildcard générique valide pendant un an et géré directement par Cloudflare dans votre interface. Mouarf ! Ca me permet d’avoir un certificat SSL pour tous mes sous domaines sans me prendre la tête, c’est juste génial.

Je comprends mieux le succès de Cloudflare maintenant et pourquoi tout le monde est chez eux. Ca montre aussi à quel point OVH doit continuer à progresser car sur ces trucs ultra basiques au final, ils sont à la rue complète et ne sont même pas capable de rivaliser avec une solution qui est gratuite. C’est triste.

Il y a donc eu beaucoup de downtime ces derniers mois à cause de tous ces changements mais avec tout ce que j’ai mis en place je pense avoir de nouveau passé un cap en terme de performance, de fiabilité et de gestion. Bah oui parceque tout ça au final ça ne change pas fondamentalement tout, le fond reste identique, c’est juste que la gestion au quotidien ou le rajout de nouveaux utilitaires est de plus en plus simple ! La majorité des tutoriels qu’on trouve sur le net fonctionnent et donnent des solutions simples et faciles à mettre en place. Le hic c’est souvent par la suite la maintenance et le suivi des mises à jour. Ce qu’on a tendance à négliger quand on met une solution en place. Et c’est pourtant la clef car vous ne voulez pas passer votre vie les mains dans le cambouis, le but c’est que vos solutions de base puissent tourner et s’auto-entretenir. Comme pour votre voiture, vous ne devez faire la révision que quand il y a un gros upgrade à effectuer et la encore, ça doit rester le plus simple possible, vous ne voulez pas la désosser pour changer une ampoule.

Le dernier gros changement de ces dernières semaines, c’est le rajout dans mes containers dockers d’une couche de sécurité via l’identificateur google. Jusqu’à maintenant, il y a des services que je ne voulais pas exposer sur le net car en dehors du mot de passe de l’application, il n’y avait aucune sécurité particulière. La vous avez maintenant en plus le login via votre compte google et la validation via votre téléphone. Franchement la classe, ça me permet, encore une fois, de simplifier encore plus mon suivi et mon utilisation au quotidien.

J’ai aussi installé Wireguard comme alternative à OpenVPN sur mon téléphone. J’avais lu partout sur le net depuis un an à quel point c’était génial et révolutionnaire et c’est vrai que la configuration (une fois compris la philosophie) est beaucoup plus pratique que OpenVPN car vous ne devez pas trimbaler vos certificats partout. Et surtout, j’ai remarqué qu’il utilisait moins la batterie de mon téléphone. Pourquoi utiliser un VPN sur mon téléphone au fait ? Bah il est configuré depuis mon routeur et me permet de naviguer comme si j’étais chez moi et donc de bénéficier de mes DNS blacklist. En gros ça me permet de naviguer sur mon téléphone sans avoir de publicité et sans avoir besoin d’installer des applications étranges. Un luxe aujourd’hui tellement le net est pourri par la publicité.

Au final tout ce que j’ai modifié sur mes serveurs est transparent et n’est visible que pour moi (quel égoïsme!!). Mais tout ça m’a donné pleins d’idées pour faire des tutoriels, il ne me reste plus maintenant qu’à trouver le temps et la motivation !

@+